ITトレンド記事 コラム
「サイバーセキュリティの近未来」(2)
サプライチェーン・サイバーセキュリティ・コンソーシアム
運営委員会議長 梶浦敏範
![[イメージ] 「サイバーセキュリティの近未来」(1)](../../lib/img/solution/column/it_trend/cyber01_01.png)
5.見落としがちなリスク
前回は「境界防御」が実効的でなくなったので「ゼロ・トラスト」という概念が注目されるようになったことを紹介した。技術の進歩や、企業の事業のやり方の変化で、従来にはなかったリスクが発生し、それへの対処が迫られることはこれだけではない。ここではシステム管理者が見落としがちな、比較的新しいリスクを2つ紹介する。
![[イメージ] 5.見落としがちなリスク](../../lib/img/solution/column/it_trend/cyber02_01.png)
1)エンドポイント・セキュリティ
現在企業の従業員が使っているデバイス(PC、タブレット、スマートフォン等)はかつてのメインフレームを上回る処理能力や記憶容量を持っている。以前には、サイバーセキュリティのほとんどはネットワークセキュリティだった。しかし今は、それだけでは企業を守れなくなっている。テレワークが盛んになる以前から、
- ・通勤路で業務用スマートフォンを紛失した
- ・出張先でWiFiに接続したPCが、ウイルスに感染した
などのインシデントはあり、デバイスの能力が高い分、より大規模で深刻な情報流出に見まわれることになる。そこで、エンドポイント・セキュリティという考え方が広まり、
- HDD等ファイルの暗号化
- デバイス自体にもウイルス検知やふるまい検知機能
- システムとしてのID管理やシャドーIT(*1)の排除
などを実施することが求められた。
2)Operational Technology(OT)
Information Technology(IT)と対になる言葉で、現場の業務まで含んでサポートするデジタル技術のこと。製造現場のデジタル化や、昨今は自動運転やドローンなどがその利用例で、モノのインターネット(IoT)接続が普及したことで、この分野でもサイバーセキュリティを考えざるを得なくなった。
かつては専用の機器に専用のソフトウェアを搭載して現場の自動化をしていたが、専用機(*2)に汎用PCのアーキテクチャをそのまま組み込む方が、開発期間もコストも抑えられ、運用も楽だと分かった。今では社会の隅々で、汎用OSを搭載しインターネット接続をする機器が活動している。当然、これらの機器はサイバー攻撃の対象になり、
- 自動車製造ラインが止められた
- 送配電システムや水道システムに異常が起きた
などの被害事例がある。OT機器を開発する企業はもちろん、これを購入して運用する企業にもOTセキュリティの備えが求められる。しかし実態は、オフィスのシステムは守っても、現場システムに目が届いていないことが多い。見過ごされがちな理由は、
- インターネット接続機器ではないと思っていたが、保守の時だけは接続していた
- 24時間稼働しているので、OSのアップデートなどのタイミングがつかめない
などで、被害を受ければ直接的に社会に影響をもたらす可能性が高いことを、十分認識してもらいたい。
6.AIとセキュリティの関係
急速に発展するデジタル技術の中でも、注目を集めているのが人工知能(AI)。この技術は2つの意味で、サイバーセキュリティと関わってくる。
1)AIによるサイバーセキュリティ
前回述べたように、サイバー攻撃を仕掛ける側は自動化の手法を使ってくる。ID・パスワードの組み合わせを多くのサイトにぶつけて開こうとするリスト攻撃などは、その初歩的な例だ。ここにAIが加わると、IDの持ち主の嗜好を考慮してより可能性の高いサイトを選び出して攻撃することも考えられる。これに対して自動化された攻撃には自動化された防御が望ましいが、その自動防御にAIが活用できると考えられている。
サイバー攻撃者にも種々の特徴やパターンがあり、過去の攻撃例を学習したAIが、攻撃の検知、分析、対応を自動的に行うものだ。利点として、ヒューマンエラーを軽減し、対応を迅速化できる。
2)AIのためのサイバーセキュリティ
AIの能力は、当該システムに与えるデータの質と量によって左右される。入力するデータ量が多いほど、多くのケースに対応できるAIに成長してくれる。しかしこれらの入力データに偽データが混じってしまうと、成長が歪んでいく。
プラント制御のAIシステムの例で考えると、各所に配置されたセンサーからのデータと、プラント全体の出力をモニターしながらAIが正しく成長していく。ここで出力データに間歇的に偽データを混ぜるなどすれば、成長が遅くなるだろう。トラブル時にプラントを停止するなどの対応を設定しても、正しい対応ができなくなる恐れもある。AIに与えられるデータの真正性やフィードバックの的確さも、サイバー攻撃の対象たり得るので留意が必要だ。
加えて「生成AI」の登場で注目された新しいリスクについても紹介したい。生成AIが画像・動画・音声を容易に作り上げることから、本物そっくりのフェイク画像や音声付動画が作られかねない。著作権者の権利侵害や、雇用の喪失などが懸念されている。しかしサイバーセキュリティ業界では、もう一つのリスクに着目している。それは、生成AIのプログラミング能力。
生成AIを使えば、十分なクラッキングの知識がない者でも、非常に高度なマルウェアを開発することができる。もちろん生成AIのサービス事業者は、社会的に問題となるような要求は排除する仕組みを付けているのだが、ある種の問いかけ方(プロンプト・エンジニアリング)をすると、この仕組みをすり抜けることができる。サービス事業者がその方法をチェックするようにしても、新しいすり抜け方を考える者もいて、簡単には決着しない。少なくとも以前より高度なマルウェアの開発は、攻撃者にとって容易になったと考えるべきだ。
![[イメージ] 6.AIとセキュリティの関係](../../lib/img/solution/column/it_trend/cyber02_02.png)
7.いざ、インシデントが起きてしまったら
サイバーセキュリティの9割は、何か起きた際の準備である。企業内のIT/OT含むデジタル環境を整理し、見える化する。従業員・デバイス・ネットワーク・ハードウェア&ソフトウェア・アプリケーションそしてデータはどうなっているか。その上で「ゼロ・トラスト」の考え方を導入して、日々の業務の安全・安心を計る。必要ならクラウド利用、自動化で運用を楽にする。
これらは全て、CIOやCISOが主導する体制、要員、設備、予算も含めた準備である。また、IT部門、セキュリティ部門以外の、経営層・管理者・一般従業員を含めた教育も必要である。そして外部の企業、組織との関係も、いざという時のために構築しておくのが望ましい。インシデントが起きた時、
- 一般従業員にリテラシーが乏しく、攻撃メール等を慌てて消してしまうとフォレンジックが難しくなる
- セキュリティベンダーに助けを求めても、事前に十分な意思疎通ができていないと、デジタル環境整理だけで時間をとられてしまう
- 被害の原因が、海外子会社や系列にない取引先で、十分な情報が入ってこないため、対応が後手に回る
- 被害想定や現状の把握が出来ない段階で経営者が記者会見に応ずるはめになり、市場の信頼を失墜させる
などの事態を招きかねない。準備の一環として、インシデント対応シミュレーションを経営層主導で行うことを是非勧めたい。これによって自社の課題が整理でき、取引先・行政機関・協力機関(弁護事務所や会計監査、セキュリティベンダー等)との関係強化の必要性も、経営者自身が理解できるからだ。
8.経営リスクとしてのサイバーセキュリティ
2回にわたり「サイバーセキュリティの近未来」と題してサイバー脅威に対する対処法を議論してきた。いくつか技術的な課題や対策も述べてきたが、サイバーセキュリティの本質は「経営者のリスク意識」である。かつて個人情報漏洩事件が多発し、経営者がフラッシュライトの中で頭を下げるシーンばかりが目立ち、「サイバーセキュリティ=個人情報保護」のイメージが残ってしまった。無論個人情報保護は重要だが、サイバー攻撃で事業継続が出来なければ、企業は社会的責任を問われることになる。経営者の方には、地震や津波のような自然災害と同様かそれ以上に、サイバーリスクを経営リスクと認識して欲しいものである。
*1:私用スマホ利用など、IT部門が管理していないデバイス
*2:FA機器、ATM、医療用機器など
